MEI a écrit :
On connais pas le contexte général mais :
* jamais CURL ne te fera une redirection, il ne fait qu'un GET/POST HTTP.
* pour que ça fonctionne il faut que le navigateur CLIENT fasse le POST.
Si y'a pas d'autres API Paypal t'as pas d'autres choix.
Après comme dit le formulaire HTML c'est pas "unsecure". (Paypal c'est pas des noobs einh).
Même si on lit ton code, super on va lire ton API Key Paypal et alors ? Tu crois que les gens vons s'en servir pour que leur transaction soit crédité sur ton compte ?
|
C'est sûr que se sont pas des Noobs chez Paypal, mais le formulaire vient de ton site dès que l'argent rentre Paypal s'en fout après si le montant a été modifié ou l'adresse de réception ce n'est pas leur problème c'est à toi de sécuriser ton appli.
MEI a écrit :
Même si on lit ton code, super on va lire ton API Key Paypal et alors ? Tu crois que les gens vons s'en servir pour que leur transaction soit crédité sur ton compte ?
|
Le problème ne vient pas de la lecture des données mais de leur modification.
Sur Mozilla Firefox avec Firebug il est possible de modifier la valeur des champs hidden comme on veux, du coup je ne trouvais pas ça trop "secure" d'avoir ça dans une page :
Code :
- <form action="https://www.paypal.com/cgi-bin/webscr" method="post">
- <input type="hidden" name="cmd" value="_xclick"/>
- <input type="hidden" name="business" value="moi@monsite.com"/>
- <input type="hidden" name="item_name" value="nom de l’objet"/>
- <input type="hidden" name="item_number" value="identifiant interne"/>
- <input type="hidden" name="amount" value="10.00"/>
- <input type="hidden" name="currency_code" value="EUR"/>
- <input type="hidden" name="no_note" value="1"/>
- <input type="hidden" name="no_shipping" value="0"/>
- <input type="hidden" name="lc" value="FR"/>
- <input type="hidden" name="bn" value="frskog"/>
- <input type="image" src=" https://www.paypal.com/fr_FR/i/bnr/ [...] .gif" border="0" name="submit" alt="Paiement sécurisé par carte bancaire"/>
- </form>
|
Après vous me direz qu'on peut toujours renseigner les valeurs en Ajax ou autre mais bon si quelqu'un a une idée pour éviter de passer par de l'Ajax et plutôt par PHP je suis preneur.
Message édité par adrien971 le 26-05-2009 à 17:23:24